Een nieuwe reeks van beveiligingsproblemen in alle belangrijke besturingssystemen (Windows, MacOS, Linux, en FreeBSD) is ontdekt. de beveiligingslekken, bekend als Thunderclap, waardoor aanvallers beschermingsmechanismen te omzeilen bedoeld om te waken tegen DMA (Direct Memory Access) aanvallen.
De ontdekking werd openbaar gemaakt tijdens het netwerk en Distributed Systems Security Symposium in San Diego. Het onderzoek wordt beschreven als een “het gezamenlijke werk met Colin Rothwell, Brett Gutstein, Allison Pearce, Peter Neumann, Simon Moore en Robert Watson". Volgens het rapport:
Direct Memory Access (DMA) aanvallen zijn vele jaren bekend: DMA-enabled I / O-randapparatuur hebben volledige toegang tot de status van een computer en kan volledig in gevaar brengen het met inbegrip van het lezen en schrijven al van het systeem geheugen. Met de populariteit van Thunderbolt 3 via USB Type-C en slimme interne apparaten, kansen voor deze aanvallen nonchalant te worden uitgevoerd met slechts enkele seconden van de fysieke toegang tot een computer hebben sterk verbreed.
Met andere woorden, dergelijke aanvallen in staat hackers om een systeem over te nemen door simpelweg een kwaadaardige hot-plug apparaat dat een extern netwerk kaart zou kunnen zijn, muis, toetsenbord, printer, opslagruimte, en de grafische kaart, in Thunderbolt 3 poort of de nieuwste USB-C-poort.
Technisch overzicht van de Donderslag Vulnerabilities
Donderslag beïnvloedt hoe Thunderbolt gebaseerde randapparaten mogen verbinding en interactie met de bovengenoemde besturingssystemen. Dit zou uiteindelijk een kwaadwillende apparaat om rechtstreeks gegevens te stelen uit het geheugen van het besturingssysteem, zoals zeer gevoelige informatie.
Het is opmerkelijk dat het team van onderzoekers (van de Universiteit van Cambridge, Rice University, en SRI International) onthuld deze beveiligingsfouten in 2016. Het duurde drie jaar in de stille werken met hardware en OS-versies om te proberen de problemen op te lossen. Helaas, OS leveranciers hebben niet adequaat genoeg gereageerd op de ontdekking, en het merendeel van de aanvallen op basis van Thunderclap zijn nog steeds geldig en exploiteerbare.
Het blijkt dat de hardware en OS-leveranciers worden op grote schaal op de hoogte van de door deze kwetsbaarheden bedreigingen, en maken gebruik van een Input-Output Memory Management Unit (IOMMU) om de toegang te beperken door DMA-enabled randapparatuur systeemgeheugen. MacOS, Linux, en FreeBSD, bijvoorbeeld, kan worden geconfigureerd om open slechts beperkte gedeelten van kernelgeheugen DMA, teneinde schadelijke apparaat te voorkomen, Het verslag belicht.
Hoe beschermd zijn de getroffen besturingssystemen op dit moment?
Microsoft heeft ondersteuning ingeschakeld voor de IOMMU voor Thunderbolt-apparaten in Windows 10 versie 1803, die verscheept in 2018, in het verslag staat. Eerder hardware upgrade naar 1803 heeft een firmware-vendor-update. Ondanks deze inspanningen, de meer complexe problemen van de onderzoekers beschrijven relevant blijven.
in MacOS 10.12.4 en later, Apple ingegaan op de specifieke netwerkkaart van de kwetsbaarheid van de onderzoekers gebruikt om een root shell te bereiken. Niettemin, Thunderbolt-apparaten nog steeds toegang tot al het netwerkverkeer en soms toetsaanslagen en framebuffer data.
Hoe zit het met Linux? Intel patches naar versie 5.0 van de Linux kernel (binnenkort worden vrijgegeven) die het mogelijk maken de IOMMU voor Thunderbolt en te voorkomen dat de bescherming-bypass kwetsbaarheid dat de ATS functie van PCI Express gebruikt.
Zoals voor FreeBSD, het project "aangegeven dat kwaadaardige randapparatuur zijn momenteel niet in hun bedreiging model voor Security Response. Echter, FreeBSD ondersteunt momenteel geen Thunderbolt hotplugging".
De onderzoekers ook vrijgegeven proof-of-concept Thunderclap code op GitHub.
Verdere maatregelen die nodig zijn
Helaas, isoleren geheugeninrichting, zoals uitgewerkt in MacOS 2012 en nu Windows 10 1803 is verre van voldoende om de Thunderclap problemen te beperken. Schadelijke apparaten kunnen zich vormen voor kwetsbare interfaces richten, het kiezen van de zwakste software aan te vallen, onder andere.
“Het is niet voldoende om gewoon in staat elementaire IOMMU bescherming in de PCIe bus kader en rekening houden met de taak voltooid. Onze bevindingen laten zien dat er geen verdediging in de diepte: de lagen daarbuiten, zoals communicatiestapels en geheugentoewijzers, niet gehard tegen schadelijke inrichtingen,” de onderzoekers waarschuwden.
Gelukkig, samenwerking met OS-leveranciers heeft geleid tot een verbetering in IOMMU (Input-Output Memory Management Unit) veiligheid en kwetsbaarheid mitigatie door middel van dit moment ingezet software-updates. Voor de volledige technische openbaarmaking, verwijzen naar de onderzoekers’ gedetailleerd rapport.